0xNews - Rust 기반 맬웨어 발견 경고

0xNews - Rust 기반 맬웨어 발견 경고


ProofPoint 발표

https://www.proofpoint.com/us/blog/threat-insight/new-variant-buer-loader-written-rust


러스트 Rust 로 개발된 신규 변종 악성코드 로더를 배포하는 새로운 악성 공격 캠패인 발견 경고

RustyBuer 명명되는 맬웨어

DHL 배송 통지로 위장된 이메일로 배포되는 것을 최근 확보 후 해당 캠패인 확인

2021년 4월초부터 50개 이상 다양한 업종에 걸쳐 200개 이상 공격 조직에서 활용한 것으로 파악


새로운 RustyBuer 변종 맬웨어는 현재 점점 사용 영역을 넓히고 있는 러스터 Rust 로 작성

러스트에서 맬웨어를 재작성하면 기존 맬웨어 대비 탐지에 대해 회피가 조금 더 잘되는 것을 확인


2019년 8월 처음 공개된 RustyBuer 는 다크웹 기반의 해커그룹에서 판매되는 페이로드 중 하나

모듈형 맬웨어로 As a Serivce 제품으로 Windows 시스템에 대해 초기 공격 후 이후 확장 공격에 대한 교두보 역할을 위해 활용

2019년 12월 BustryBuer 은 .NET Core 로 작성된 제어판을 사용하여 완전히 C 언어로 개발된 맬웨어로 분류


ProofPoint 해당 맬웨어 분류에 대한 사이트 링크

https://www.proofpoint.com/us/threat-insight/post/buer-new-loader-emerges-underground-marketplace


2020년 9월 Ryuk 랜섬웨어 배후 운영자는 공격 캠페인 일환으로 RustyBuer 맬웨어 드롭퍼 초기 접속 백터로 사용하는 것을 확인


Sophos 의 RustyBuer 맬웨어 정보 분석 사이트 링크

https://news.sophos.com/en-us/2020/10/28/hacks-for-sale-inside-the-buer-loader-malware-as-a-service/


이후 2021년 발견된 고용 채용 피싱 매크로를 활용한 다운로드 포함된 BustyBuer 활용한 Microsoft Excel 문서 정보 확인


Infoblox 제공 Buer Loader 캠패인 분석 PDF 사이트 링크

https://insights.infoblox.com/threat-intelligence-reports/threat-intelligence--106



Buer 악성 코드 로더를 전달한 새로운 maldoc 캠패인은 DHL 테마의 피싱 이메일을 사용

Rust 변종의 Buer 로더를 삭제하는 무기화된 MS Word / Excel 문서 배포

C 언어를 이용하여 탐지 우회 가능함을 확인

해당 탐지 우회 가능 알고리즘은 분석 중


새롭게 작성된 맬웨어와 더불어 정상적으로 위장한 사이트 / 앱 처럼 보이려는 새로운 피싱 공격은 RustyBuer 를 활용하는 공격자는 탐지를 회피하고 공격을 성공적으로 이끌기 위한 클릭률을 높이기 위해 여러 다양한 공격 기법을 연구, 활용, 적용한 것으로 확인


다양한 언어로 개발하는 공격자의 도구는 분석과 이에 대한 DB 확보를 통해 분석과 결과를 도출

하지만 현재까지 Rust 에 대한 공격과 이에 대한 결과에 대한 정보 교류가 부족하기 때문에 추후 다양한 공격이 이루어질 것으로 예상


댓글

이 블로그의 인기 게시물

0xNews - 새로운 DNS 공격 방식 발견

0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견

0xNews - Wi-Fi 를 통해 전산실과 분리된 컴퓨팅 공간에서의 데이터 추출 가능